ディオール、カルティエ、ティファニーに続き、4日にはルイ・ヴィトンでも個人情報流出事故が発生したが、これらすべての企業が韓国国内に個人情報総責任者を別途指定していなかったことが8日、確認された。高級ブランド企業が韓国の個人情報保護法を守らず、情報保護にも疎かだったのだ。
東亜(トンア)日報が同日、個人情報流出で物議を醸した高級ブランド4社の個人情報保護方針を確認した結果、4社すべてが韓国国内の代理人を指定していなかった。個人情報保護法では、前年の本社売上高が1兆ウォン以上または1日平均利用者数が100万人以上の外国企業は、韓国国内の代理人を指定し、公開が義務付けられている。
金融監督院の電子公示システムによると、昨年のルイ・ヴィトン・コリアの売上高は1兆7484億ウォンで、個人情報責任者の指定が必要な事業体に該当する。ディオールの場合、昨年の売上は9453億ウォンで若干減少したが、2023年には1兆456億ウォンと1兆ウォンを超えていた。カルティエを保有するリシュモンの韓国売上は1兆7952億ウォン(24年4月~25年3月基準)だった。
順天郷(スンチョンヒャン)大学情報保護学科の廉興烈(ヨム・フンヨル)名誉教授は、「韓国国内の代理人は国内法改正の動向をモニタリングし、グローバル本社に伝え、流出事故時には本社と直接連携して実効的な対応や行政処分手続きを円滑に進める役割を果たす」とし、「代理人がいなければこうした対応は困難で、国内法遵守にも限界が生じる」と指摘した。
これらの企業は個人情報保護責任者の指定も疎かにしていたことが明らかになった。個人情報保護委員会によると、個人情報保護責任者は部署ではなく担当職員を明示しなければならない。ティファニーは担当部署のみを明示し、ルイ・ヴィトンは個人情報流出直後の先月10日に個人情報保護方針を修正し、責任者を遅れて指定したことが確認された。
セキュリティ業界によると、流出事故を起こした高級ブランド企業はすべてクラウドベースのグローバルCRM(顧客関係管理)サービス業者1社を利用していたことが分かった。個人情報保護委員会関係者は「今回の情報流出がサービス業者の問題なのか、高級ブランド企業の管理不備なのかを調査している」と述べた。
海外の高級ブランド企業とは異なり、韓国国内の主要ファッション企業は個人情報保護責任者を明確に公開している。LFは情報保護室長を責任者に定め、自社システムを構築して個人情報を管理している。
専門家らは、購買力の高い高級ブランドの顧客情報がハッカーのターゲットになっていることから、こうした企業への個人情報保護監督機能を強化すべきだと指摘している。高麗(コリョ)大学情報保護大学院の林鍾仁(イム・ジョンイン)名誉教授は「グローバル高級ブランド企業の韓国支社のセキュリティ意識不足が顧客情報流出につながっているため、国内法を守るように管理責任を強化しなければならない」と述べた。本紙はディオールとルイ・ヴィトン側に個人情報管理に関する立場を求めたが、回答は得られなかった。
イ・ソジョン記者 キム・ダヨン記者 sojee@donga.com
About Dong-A Ilbo